Injection de Shell dans les notifications SMTP
Divulgation de la vulnérabilité :
The purpose of this vulnerability disclosure is to communicate the potential vulnerability affecting Supermicro products that was reported by an external researcher.
Remerciements :
Supermicro would like to acknowledge the work done by the researcher from Germany for discovering a potential vulnerability in the H12SSL-NT motherboard.
Les résultats :
Une vulnérabilité dans certaines supermicro peut affecter les configurations de notification SMTP. Cette vulnérabilité peut permettre à des acteurs malveillants non authentifiés de contrôler les entrées utilisateur, telles que l'objet dans les paramètres d'alerte, ce qui peut conduire à l'exécution arbitraire de code.
CVE :
- 35861
- Gravité: élevée
Produits concernés :
Supermicro BMC in select X12, X13, and H12, H13 motherboards.
Solution :
- All affected Supermicro motherboard SKUs will require a BMC update to mitigate this potential vulnerability.
- An updated BMC firmware had been created to mitigate this potential vulnerability. Supermicro is currently testing and validating affected products. Please check Release Notes for the resolution.